楊向東++馬卓元+趙首花

摘 要：隨著信息化的推動(dòng)和工業(yè)化進(jìn)程的加速，工業(yè)控制系統(tǒng)越來越容易受到信息安全的威脅。論文分析了工業(yè)控制系統(tǒng)資產(chǎn)、威脅、脆弱性、風(fēng)險(xiǎn)計(jì)算問題，為評(píng)估工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)狀況提供了簡便、有效的方法。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；信息安全；風(fēng)險(xiǎn)評(píng)估

Abstract： With the promotion of information technology and the acceleration of the industrialization process， industrial control systems are increasingly vulnerable to information security. This paper focuses on the analysis of the assets， threats， vulnerabilities and provides a simple and effective method for assessing the information security risk of industrial control system.

Key words： industrial control system； information security； risk assessment

1 引言

工業(yè)控制系統(tǒng)是包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)、分布控制系統(tǒng)等多種類型控制系統(tǒng)的總稱 ，目前已廣泛應(yīng)用于鋼鐵、化工、電力、民航等關(guān)乎國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，成為國家安全戰(zhàn)略的重要組成部分。

隨著智能制造和工業(yè)4.0時(shí)代的到來，以及工業(yè)化與信息化的深度融合，針對(duì)工業(yè)控制系統(tǒng)的病毒、木馬、入侵等安全威脅和攻擊不斷增多，工業(yè)控制系統(tǒng)信息安全（以下簡稱“工控安全”）面臨著巨大的挑戰(zhàn)。因此，論文對(duì)工控安全風(fēng)險(xiǎn)評(píng)估進(jìn)行了研究分析。

2 工控安全的資產(chǎn)分析

2.1 資產(chǎn)分類

工業(yè)控制系統(tǒng)資產(chǎn)可分為硬件（遠(yuǎn)程終端單元、主終端單元、過程控制系統(tǒng)、可編程邏輯控制器、工業(yè)控制計(jì)算機(jī)、輸入輸出服務(wù)器等），軟件（組態(tài)監(jiān)控軟件、工控編程軟件、互聯(lián)網(wǎng)應(yīng)用軟件、數(shù)據(jù)庫軟件、防病毒軟件等），信息（數(shù)據(jù)文件、審核蹤跡、系統(tǒng)文件、培訓(xùn)材料等），人力（主機(jī)維護(hù)主管、系統(tǒng)維護(hù)者、掌握重要信息和核心業(yè)務(wù)的人員等），無形資產(chǎn)（相關(guān)專利、商譽(yù)、技術(shù)秘密等）。

2.2 資產(chǎn)賦值

通過分析工業(yè)控制系統(tǒng)資產(chǎn)的可用性、完整性、機(jī)密性的達(dá)成程度，將工業(yè)控制系統(tǒng)資產(chǎn)劃分為“高”（資產(chǎn)重要性很高，其安全屬性破壞后會(huì)帶來非常嚴(yán)重的影響）；“較高”（資產(chǎn)重要性較高，其安全屬性破壞后會(huì)帶來比較嚴(yán)重的影響）；“一般”（資產(chǎn)重要性一般，其安全屬性破壞后會(huì)帶來中等程度的影響）；“較低”（資產(chǎn)重要性較低，其安全屬性破壞后會(huì)帶來較低程度的影響）；“低”（資產(chǎn)重要性低，其安全屬性破壞后帶來的影響可忽略不計(jì)）五個(gè)重要性等級(jí)，其中工業(yè)控制系統(tǒng)資產(chǎn)重要性程度與其級(jí)別成正比。

3 工控安全的威脅分析

3.1 威脅分類

工控安全威脅的表現(xiàn)形式可分為人為失誤（設(shè)置錯(cuò)誤、配置錯(cuò)誤、操作失誤等），管理缺失（策略和制度不完善、操作規(guī)程不明晰、職責(zé)不明確等），越權(quán)或?yàn)E用（未授權(quán)連接訪問、濫用權(quán)限非正常修改或破壞重要信息等），信息泄密（內(nèi)部或外部的信息泄露等），安全漏洞（網(wǎng)絡(luò)漏洞、軟硬件漏洞、通信協(xié)議漏洞等），軟硬件故障（工業(yè)控制系統(tǒng)自身缺陷、設(shè)備故障、應(yīng)用軟件故障等），惡意代碼（病毒、蠕蟲、木馬、后門、邏輯炸彈等），入侵攻擊（敵對(duì)勢(shì)力或工業(yè)間諜的攻擊摧毀、數(shù)據(jù)和應(yīng)用的竊取和破壞、拒絕服務(wù)攻擊等），自然災(zāi)害（洪災(zāi)、地震、其他不可預(yù)知事件等），物理影響（停電、斷網(wǎng)、靜電、電磁干擾等）。

3.2 威脅賦值

結(jié)合威脅發(fā)生的頻率和其對(duì)資產(chǎn)造成的影響，將工業(yè)控制系統(tǒng)所面臨的威脅劃分為“高”（威脅發(fā)生的頻率高（≥1次/天），會(huì)造成嚴(yán)重影響）；“較高”（威脅發(fā)生的頻率較高（≥1次/周），會(huì)造成一定影響）；“一般”（威脅發(fā)生的頻率一般（≥1次/月），可能會(huì)造成影響）；“較低”（威脅發(fā)生的頻率較低（≥1次/年），造成影響的幾率?。弧暗汀保ㄍ{發(fā)生的頻率十分低，幾乎不造成影響）五個(gè)等級(jí)，其中威脅出現(xiàn)的頻率與其級(jí)別成正比。

4 工控安全的脆弱性分析

4.1 脆弱性識(shí)別

工業(yè)控制系統(tǒng)的脆弱性按照不同的屬性可以分為技術(shù)脆弱性和管理脆弱性。

技術(shù)脆弱性可從物理環(huán)境（物理隔離、防盜竊破壞、防雷擊靜電、防水防潮、溫濕度控制、應(yīng)急供電設(shè)施、電磁屏蔽、穩(wěn)壓器等），生產(chǎn)管理（網(wǎng)絡(luò)架構(gòu)、邊界防護(hù)、通信傳輸、無線使用控制、訪問控制、口令管理、身份鑒別、安全審計(jì)、資源控制、網(wǎng)絡(luò)協(xié)議、入侵及惡意代碼防范、安全監(jiān)視等），應(yīng)用和數(shù)據(jù)（組態(tài)軟件、監(jiān)控軟件、編程軟件、數(shù)據(jù)庫軟件、服務(wù)器軟件、軟件容錯(cuò)、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)等），設(shè)備和計(jì)算（主機(jī)、系統(tǒng)及軟硬件產(chǎn)品漏洞、訪問控制、身份鑒別、口令保護(hù)、設(shè)備故障、網(wǎng)絡(luò)設(shè)備端口安全等）方面進(jìn)行識(shí)別。

管理脆弱性可從策略和制度（工控安全工作的總體方針、安全策略、管理活動(dòng)中的各類管理內(nèi)容、日常管理操作的操作規(guī)程等），機(jī)構(gòu)和人員（指導(dǎo)和管理工控安全工作的委員會(huì)或領(lǐng)導(dǎo)小組、工控安全工作的職能部門、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、第三方人員安全等），開發(fā)管理（安全產(chǎn)品采購和使用、第三方管理的執(zhí)行、安全性測(cè)試和評(píng)估的創(chuàng)建和執(zhí)行、外包軟件驗(yàn)收交付的檢查等），運(yùn)維管理（資產(chǎn)、介質(zhì)及設(shè)備的存放環(huán)境、使用、維護(hù)和銷毀等安全管理、系統(tǒng)維護(hù)維修活動(dòng)、日常監(jiān)測(cè)和報(bào)警機(jī)制、漏洞和風(fēng)險(xiǎn)管理等）和應(yīng)急管理（應(yīng)急演練、應(yīng)急預(yù)案、應(yīng)急保障隊(duì)伍等）方面進(jìn)行識(shí)別。

4.2 脆弱性賦值

依據(jù)工業(yè)控制系統(tǒng)脆弱性被威脅成功利用的難易程度，將工業(yè)控制系統(tǒng)的脆弱性劃分為“高”（脆弱性程度高，易被威脅利用，將造成完全損害）；“較高”（脆弱性程度較高，較易被威脅利用，將造成重大損害）；“一般”（脆弱性程度中等，可能被威脅利用，將造成一般損害）；“較低”（脆弱性程度較低，較難被威脅利用，將造成較小損害）；“低”（脆弱性程度低，難以被威脅利用，幾乎不造成損害）五個(gè)嚴(yán)重程度等級(jí)，其中脆弱性對(duì)工業(yè)控制系統(tǒng)所造成的嚴(yán)重程度與其級(jí)別成正比。

5 工控安全的風(fēng)險(xiǎn)分析

5.1風(fēng)險(xiǎn)計(jì)算

工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)計(jì)算的方法有很多種，如矩陣法和相乘法，評(píng)估者可根據(jù)自身情況，參照GB/T 20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》 中風(fēng)險(xiǎn)值的范化形式，選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)值。

5.2 風(fēng)險(xiǎn)結(jié)果

結(jié)合計(jì)算出的工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)值，將風(fēng)險(xiǎn)計(jì)算結(jié)果劃分為“高”（一旦發(fā)生將造成惡劣影響，嚴(yán)重危害工業(yè)控制系統(tǒng)）；“較高”（一旦發(fā)生將造成重大影響，一定程度上危害工業(yè)控制系統(tǒng)）；“一般”（一旦發(fā)生將造成中等影響，一般程度上危害工業(yè)控制系統(tǒng)）；“較低”（一旦發(fā)生將造成較低影響，較小程度上危害工業(yè)控制系統(tǒng)，采取有效措施便可解決）；“低”（一旦發(fā)生造成的影響幾乎不存在）五個(gè)等級(jí)，其中工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)與其級(jí)別成正比。

根據(jù)評(píng)估出的風(fēng)險(xiǎn)等級(jí)，工業(yè)控制系統(tǒng)應(yīng)在風(fēng)險(xiǎn)管理中設(shè)定可接受風(fēng)險(xiǎn)值的基準(zhǔn)，從而確定工控安全的相應(yīng)策略，保障工業(yè)控制系統(tǒng)安全運(yùn)行。

6 結(jié)束語

我國關(guān)于工控安全的研究仍然處于起步發(fā)展階段。本文重點(diǎn)研究與分析了工控安全風(fēng)險(xiǎn)評(píng)估中資產(chǎn)、威脅、脆弱性問題，并提出了對(duì)應(yīng)分析方法，對(duì)提高工業(yè)控制系統(tǒng)的安全防護(hù)能力有推動(dòng)作用。

參考文獻(xiàn)

[1] 彭勇，等.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J].清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2012.52（10）：1396-1408.

[2] 中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國國家標(biāo)準(zhǔn)化管理委員會(huì).信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范：GB/T 20984—2007[S].北京：中國標(biāo)準(zhǔn)出版社，2007.endprint